網路犯罪分子正不斷提高技術方式，尋找利用使用者並獲取其個人數據的新方法。 過去，欺騙使用者提供敏感資訊最常見的方式就是網路釣魚攻擊，偽裝成可靠的來源並要求提供用戶的數據。 不過根據思科 Talos 威脅情報組織的最新安全報告，作為從不知情的用戶那裡獲取資訊的有效方法，一種新的惡意活動已經越來越受到重視。

這種方法叫做「惡意廣告」（malvertising），Talos 情報組織認為，一個被稱為「Magnat」的特定活動利用欺詐性的在線廣告來欺騙那些正在搜索合法軟體安裝程序的使用者。 思科威脅情報團隊認為，Magnat 活動可能在 2018 年底開始，目標是加拿大、美國、澳大利亞和其他幾個歐洲國家的使用者。

一旦使用者被引導到欺詐性下載，他們就會運行一個假的安裝程式，將三個不同的惡意軟體部署到他們的系統。 雖然假安裝程式開始安裝多個惡意軟體元件，但它並沒有安裝使用者最初搜索的實際應用程式。

第一款惡意軟體是一個密碼竊取器，用於收集用戶憑證，通常通過一個被稱為 Redline 的普通工具。 另一個惡意軟體，稱為 MagnatBackdoor，透過微軟遠端桌面設置對使用者設備的遠端訪問。 這種訪問，結合由 Redline（或類似工具）竊取的用戶憑證，可以提供對用戶系統的不受約束的訪問，儘管它是安全和防火牆。 第三款惡意軟體是一個被稱為 MagnatExtension 的 Chrome 瀏覽器擴展，它被用於鍵盤記錄，獲取敏感資訊的螢幕截圖等。

2021年8月的一條推文提供了一個可疑的惡意廣告活動的截圖和下載樣本。 Talos分析了推文中提到的樣本，並驗證了至少一個樣本包含MagnatBackdoor、MagnatExtension和Redline惡意軟體元件。

Talos認為Magnat工具經過幾年的發展和改進，並沒有很快放緩的跡象。 安裝包的名稱不斷變化，通常參考流行的應用程式的名稱，以增加可信度，並欺騙使用者部署該包。 過去軟體包名稱的例子包括viber-25164.exe、wechat-35355.exe、build_9.716-6032.exe、setup_164335.exe、nox_setup_55606.exe和 battlefieldsetup_76522.exe。